Content-Disposition の filename という地雷。 (1個の観点で17個の脆弱性を見つけた話) - ぶるーたるごぶりん
English ver: https://gist.github.com/motoyasu-saburi/1b19ef18e96776fe90ba1b9f910fa714#file-lack_escape_content-disposition_filename-md TL;DR 1つのブラウザ、1つのプログラミング言語、15個の { Web Framework, HTTP Client ライブラリ, Email ライブラリ / Web Service 等} で脆弱性を見つけました。 見つけた脆弱性は、全て 1つの観点で発見した (多分 50-80 くらいのプロダクトの調査をした)。 RFC の記載では、(かなりわかりにくく)この問題に対する要件が記載されており、WHATWG > HTML Spec の方はしっかりと書かれているといった状況にある。 この問題は、 Content-Dispo
「最近の偽装メールはここまでやらないと確認できないのか?」・・・という話
西村誠一 @khb02323 ↓昨日、今日はじまった話でもなくて、ここ数年来続いてる話だと思うのですが、最近の偽装メールは「あまりに巧妙」なので、うっかりするとそれなりにITリテラシーある人でも簡単に騙されますよ?・・・という話です。(今回、私は詳細に確認する迄本物か偽物か判別できませんでした) 2016-08-04 13:28:49 西村誠一 @khb02323 ↓私は結構パソコンでMMORPGとか色んなゲームをやる方で「ハンゲーム」のアカウントも持っていました (※)ただ、「ハンゲーム」のゲームは半年~数年やってなかったので放置状態ではありました 2016-08-04 13:28:55 西村誠一 @khb02323 ↓ゲームや銀行などで「偽装メール」、「詐称メール」は日常的に多いと思うんですが、今日、私の所に「ハンゲーム」から「ご登録パスワード変更完了のお知らせ」というシステム自動送信
自堕落な技術者の日記 : (小ネタ)スマホでS/MIME署名・暗号メール使うならdocomoはおやめなさい - livedoor Blog(ブログ)
基本は喰ってるか飲んでるかですが、よく趣味でカラオケ・PKI・署名・認証・プログラミング・情報セキュリティをやっています。旅好き。テレビ好きで芸能通 いや〜、シルバーウィーク暇ですわ〜〜〜。iPhoneというかiOSの標準メールソフにはS/MIME署名・暗号メールの機能があって、S/MIME用証明書というメールアドレスの書かれたデジタル証明書があれば、自分が送ったメールの本文が改ざんされないようにデジタル署名で保護したり、送信先、送信者しかメールが見られないように暗号メールを送ったり、受信したりすることができます。 先月あたり、docomo iPhoneのS/MIMEメールでちょっと問題があることを知って、今日は書きそびれていたそのことをブログに書こうと思っています。 ある日、会社からS/MIME署名メールをdocomoのiPhoneに送ってみたところ、こんな感じに表示されました。 最初は
OCN利用者はメールソフトのSSL設定をオンにしてください パスワードが漏洩します
Hiromitsu Takagi @HiromitsuTakagi 解説 メール受信には90年代からAPOPプロトコルが使われてきた。これは、パスワードを生で送信せずチャレンジレスポンス方式でMD5ハッシュして送信するもので、ネットワークが盗聴されても大丈夫なものとされてきた。そのため、メール送受信にSSLを使わないのが普通という時代が続いた。 2014-12-09 03:40:07 Hiromitsu Takagi @HiromitsuTakagi 公衆Wi-Fiの普及で盗聴リスクが高まり、メール送受信にもSSLをとの機運が高まり、メールソフト側の対応も済んでいたのに、日本のISPはなかなかSSL化を進めなかった。彼らの言い分は、メールはどのみち暗号化されずに流れるし、パスワードはAPOPで保護されているというものだった。 2014-12-09 03:45:03 Hiromitsu Ta
Gmailに「サーバーに残されたメッセージ:ウィルスに感染またはその疑いのあるファイルが添付されていました」が届くようになった
ここ数日で、「Gmailから転送設定しているメールアドレスにウイルスに感染した疑いのあるファイルが添付されていたので、転送を中止しました」という内容のメールが届くようになりました。これについてメモ。 目次 1. 転送設定2. Gmailチームからの警告3. Yahoo!メール側で確認 スポンサーリンク 転送設定 現在、Yahoo!メールからGmailへメールを転送する設定をしています。 より詳細に言うと、設定はGmail側で行っており、POP3を利用して、Yahoo!メールに届いたメールを取得している、という形です。 Gmailチームからの警告 1週間ほど前から、「Gmailチーム(mail-noreply@google.com)」から、次のようなメールが届くようになりました。 件名:サーバーに残されたメッセージ: "Starbucks Coffee Company gift form y
XSSとSQLインジェクションの両方が可能なRFC5322適合のメールアドレス
メールアドレスの「ルール」に関する話題が盛り上がっていますね。 「メールアドレスのルール」系まとめがそろって間違ってるのでご注意を 「メールアドレスのルール」なんて使ってはいけない3つの理由 これらのエントリに異論があるわけでありません。メールアドレスに関するルールというとRFC5322などがあるものの、現実の運用では簡易的な仕様を用いている場合が大半である…という事情は、私も以前ブログに書きました。、 本稿では、「空前のメールアドレスのルールブーム(?)」に便乗する形で、RFC5322に準拠したメールアドレスで、XSSやSQLインジェクションの攻撃ができることを紹介します。と言っても、SQLインジェクションについては、過去に書きましたので、本稿では、RFC5322バリッドなメールアドレスでSQLインジェクションとXSSの両方ができるメールアドレスを紹介します。 まず、攻撃対象として、以下
他人事じゃなかった!Gmailアカウントに不正アクセスされたのでセキュリティ強化する
ここ数日で急にGmailアカウントへの不正アクセス&スパムメール送信の踏み台とされる問題が多く起こっています。 ネットニュース等でも多く取り上げられていたので知ってはいたのですが「まぁパスワードもすっげぇ長いし問題無いだろう」と思って放置していました。 が!!不正アクセスされちった・・・ 正確には未遂なのですが、もうこういうことは心臓に悪くて嫌なのでセキュリティ強化のために2段階認証の設定を行ってみようかと思います。 また、それに合わせてiPhone側の設定も変更する必要があるみたいなので、そこもやってみようかと思います。 *完全に私個人のメモです。だらだら忘れないように書いているだけですので、ご了承ください。 不正アクセスされる Googleからメールが届き、何だろ?と思って開いてみると以下の内容が。 最近、他のユーザーがアプリケーションを使用して Google アカウント (私のアカウ
TechCrunch | Startup and Technology News
Welcome back to The Interchange! If you want this in your inbox, sign up here. We’ll be taking a break next weekend as Mary Ann and Christine both take much-needed vacations (we didn’t
WebメールのHTTP通信の危険性 | Security.GS Magazine
本日から開始されたドコモwebメールを触ってみたが、パスワードを送信する一瞬だけSSL通信を使うものの、ログイン画面や、ログイン後のウェブメールの画面では一切SSL通信が使われておらず、公衆ネットワークやプロキシ接続環境で閲覧した場合は、メール本文が流出する可能性があることに気付いた。 ドコモwebメールで注意が必要なのは、設定によっては普段ドコモの携帯電話で送受信しているiモードメールも、ドコモwebメールで閲覧できるため、携帯での送受信メールが流出するのと同義だということ。 また、ドコモwebメールのベースとなっているgooメールやYahoo!メール、Hotmailなどもログイン以外はSSL通信を行っていない。Gmailでは常時SSL通信を行う設定を確認できた。 ちなみに、盗聴やプロキシ接続などで通信を傍受された場合、下記のような事象でメールを読みやすく取得できる。 【認証時はSSL通
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
